spierałbym się czy dla przeciętnego użytkownika, a nawet małego produkcyjnego serwera ma to jakikolwiek znaczenie. niemniej dobrym "nawykiem" byloby przesiadać sie na nowego kernela około wersji 15-20 :)
Zgadzam się. W wielu przypadkach błędy w kernelu nie mają znaczenia, np. gdy serwer nie udostępnia zasobów na zewnątrz lub pracuje w sieci wewnętrznej firmy. Chodzi jedynie o ogólną zasadę - kernel w Debianie jest (niestety) dziurawy i nikt tych dziur nie łata. Tak jest niestety od dawna, co w mojej opinii wynika ze zbyt kultowego, wręcz "religijnego" trzymania się zasady zamrażania pakietów. W większości przypadków jest to słuszna zasada, ale nie dotyczy ona np. jądra.
Developerzy debiana zauważyli ten problem wprowadzając repozytorium volatile w którym znajdują się m.in. programy antywirusowe. Niestety nie ma tam najnowyszch kerneli.
Ja już od dawna stosuję taką zasadę, że po instalacji Debiana wyrzucam instalacyjne jądro i wkładam najnowsze, które samodzielnie przygotowuję. W sumie nie jest to nic trudnego, jedynie co mnie niepokoi to własnie to nabożne podejście do zamrażania wszystkiego jako panaceum na bezpieczeństwo dystrybucji. W przypadku zamrażania jądra skutek jest odwrotny - dystrybucja staje się potencjalnie niebezpieczna.
na secunia opisywane są z resztą dziury w jądrze które często mają opis taki : "jesli masz raida 0 postawionego na dell proliant xxx wyprodukowany w 2002 roku i używasz squida w wersji xx.x.x-x-rc2-sarge to istnieje możliwość zdalnego wykonania kodu ... " nie dajmy sie opanować windowsowej panice.
Masz rację - wiele usterek tam opisanych ma niewielkie znaczenie lub dotyczy specyficznych sytuacji. Jednak takie właśnie jest zadanie tego serwisu - ma informować o wszelkich błędach w oprogramowaniu, a od decyzji użytkownika konkretnej instalacji należy decyzja, czy ten błąd mu zagraża, czy też jest obojętny.
Nie zmienia to faktu, że opisano tam też bardzo poważne błędy jądra 2.6.8 i wyższych, które mogą byc potencjalnie bardzo niebezpieczne dla każdej architektury i z tego trzeba zdawać sobie sprawę.
W sprawach bezpieczeństwa nie ma guru i złotych środków. Potrzeba wiedzy i osobistego osądu sytuacji wynikającego ze znajomości własnych instalacji oraz odrobiny zdrowego rozsądku. Moim zdaniem niebezpieczne jest zbytnie zaufanie np. do instytucji "zamrażania" pakietów jako lekarstwa na wszystkie problemy związane z bezpieczeństwem. Zauważ, że to właśnie Debian jest jedyną znaną mi dystrybucją której serwery zostały zhakowane przed dwoma laty. Być może przyczyną było właśnie zbytnie zaufanie do zasady zamrażania pakietów i utrzymywania na serwerach debiana staroci tylko dlatego, że tego wymaga "polityka bezpieczeństwa".
Pozdr. Marek